Fail2bani installimine Rocky Linuxile ja AlmaLinuxile

Sisse kirjutatud Python, Fail2ban on tasuta ja avatud lähtekoodiga Sissetungimise vältimise süsteem (IPS), mis kaitseb serverit toorjõu rünnakute eest.

Pärast kindlaksmääratud arvu vale parooli proovimist keelatakse kliendi IP -aadressil süsteemile juurdepääs teatud ajaks või kuni süsteemiadministraator selle blokeeringu tühistab. Nii on süsteem kaitstud ühe hosti korduvate toorjõu rünnakute eest.

[Teile võib meeldida ka: OpenSSH -serveri turvamine ja tugevdamine ]

Fail2ban on väga konfigureeritav ja seda saab seadistada turvama lugematuid teenuseid, näiteks SSH, vsftpd, Apacheja Webmin.

Selles juhendis keskendume sellele, kuidas saate installida ja konfigureerida Fail2ban peal Rocky Linux ja AlmaLinux.

Samm: veenduge, et tulemüür töötab

Vaikimisi, Rocky tuleb koos Tulemüür jooksmine. Kui aga teie süsteemis nii pole, alustage Tulemüür teostades:

$ sudo systemctl käivitage tulemüür. 

Seejärel lubage see käivitamise ajal käivitada:

$ sudo systemctl lubab tulemüüri. 

Seejärel kontrollige tulemüüri olekut

$ sudo systemctl oleku tulemüür. 
Kontrollige tulemüüri olekut
Kontrollige tulemüüri olekut

Lisaks saate kinnitada kõik Tulemüür reeglid, mida praegu rakendatakse käsu abil:

$ sudo tulemüür-cmd-list-all. 
Loetlege tulemüüri reeglid
Loetlege tulemüüri reeglid

Samm: installige EPEL Rocky Linuxi

Paigaldamise nõudena fail2ban ja muud vajalikud paketid, peate installima EPEL hoidla, mis pakub täiendavaid kvaliteetseid pakette RHEL-põhised jaotused.

$ sudo dnf installige epel-release. 
Installige EPEL Rocky Linuxi
Installige EPEL Rocky Linuxi

Samm: installige Fail2ban Rocky Linuxi

Koos EPEL installitud, jätkake ja installige fail2ban ja fail2ban-firewalld pakett.

$ sudo dnf install fail2ban fail2ban-firewalld. 

See installib fail2ban serveri ja tulemüüri komponendi koos muude sõltuvustega.

Installige Fail2ban Rocky Linuxi
Installige Fail2ban Rocky Linuxi

Kui fail22 installimine on lõpule viidud, käivitage teenus fail2ban.

$ sudo systemctl käivita fail2ban. 

Ja lubage see käivitamise ajal käivitada.

$ sudo systemctl lubab fail2ban. 

Faili2 teenuse olekut saate kontrollida, käivitades käsu:

$ sudo systemctl olek fail2ban. 

Väljund kinnitab, et Fail2ban töötab nii, nagu me ootaksime.

Kontrollige Fail2bani olekut
Kontrollige Fail2bani olekut

Samm: Fail2bani seadistamine Rocky Linuxis

Edasi liikudes peame konfigureerima fail2ban, et see toimiks ettenähtud viisil. Ideaalis muudaksime peamist konfiguratsioonifaili - /etc/fail2ban/jail.conf. See on aga heidutav. Lahendusena kopeerib jail.conf konfiguratsioonifaili sisu kausta vangla.kohalik faili.

$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local. 

Nüüd avage vangla.kohalik faili kasutades eelistatud redaktorit.

$ sudo vim /etc/fail2ban/jail.local. 

All [DEFAULT] jaotis, veenduge, et teil on järgmised seaded, nagu need kuvatakse.

puhkeaeg = 1h. leiuaeg = 1h. maxretry = 5. 

Määratleme atribuudid:

  • The puhkeaeg direktiiv määrab aja, mille jooksul klient keelatakse pärast ebaõnnestunud autentimiskatseid.
  • The leidmise aeg direktiiv on kestus või ajavahemik, mille jooksul fail2ban võtab arvesse korduvaid vale parooli katseid.
  • The maksetööstus parameeter on maksimaalne valede paroolikatsete arv, enne kui kaugkliendil serverile juurdepääs blokeeritakse. Siin lukustatakse klient pärast 5 autentimisviga.

Vaikimisi töötab fail2ban iptablesiga. See on aga tulemüüri kasuks aegunud. Peame konfigureerima fail2bani, et see töötaks koos iptablesiga tulemüüriga.

Niisiis, käivitage käsk:

$ sudo mv /etc/fail2ban/jail.d/00-firewalld.conf /etc/fail2ban/jail.d/00-firewalld.local. 

Muudatuste rakendamiseks taaskäivitage fail2ban:

$ sudo systemctl taaskäivita fail2ban. 

Samm: SSH -teenuse turvamine Fail2baniga

Vaikimisi ei blokeeri fail2ban ühtegi kaughosti enne, kui olete lubanud vangla konfigureerimise teenusele, mida soovite kaitsta. Vangla konfiguratsioon on täpsustatud jaotises /etc/fail2ban/jail.d tee ja alistab failis jail.local määratud konfiguratsiooni.

Selles näites loome SSH -teenuse kaitsmiseks vangla konfiguratsioonifaili. Seetõttu looge SSH -vanglafail.

$ sudo vim /etc/fail2ban/jail.d/sshd.local. 

Seejärel kleepige järgmised read:

[sshd] enabled = true # Alistage globaalne vaikekonfiguratsioon. # konkreetse vangla sshd jaoks. bantime = 1d. maxretry = 3.

Ülaltoodud konfiguratsioonis keelatakse kaugarvul 1 päev pärast kolme ebaõnnestunud SSH sisselogimiskatset süsteemile juurde pääseda. Salvestage muudatused ja taaskäivitage fail2banni teenus.

$ sudo systemctl taaskäivita fail2ban. 

Seejärel kontrollige vangla konfiguratsiooni olekut, kasutades nuppu fail2ban-client käsurea utiliit.

$ sudo fail2ban-kliendi olek. 

Väljundist näeme, et meil on 1 vangla konfigureeritud teenusele nimega „sshd’.

Kontrollige Fail2bani vangla staatust
Kontrollige Fail2bani vangla staatust

Lisaks saate kinnitada maksetööstus sshd vangla väärtus, kasutades hankimisvalikut.

$ sudo fail2ban-client saab sshd maxretry 3. 

Väärtus trükitud 3 peaks vastama jaotises sshd.local faili.

6. samm: Fail2bani konfiguratsiooni testimine

Pärast fail2bani seadistamist ja SSH -teenuse jaoks vangla konfiguratsioonifaili loomist läheme tehke proovisõit ja simuleerige 3 ebaõnnestunud sisselogimist, määrates igale paroolile vale parooli viip.

Nii et minge Linuxi kaugesüsteemi ja proovige sisse logida vale parooliga. Pärast kolme ebaõnnestunud katset katkestatakse ühendus ja kõik hilisemad uuesti ühendamise katsed blokeeritakse, kuni keeld keelab.

Fail2bani testimine Linuxis
Fail2bani testimine Linuxis

Blokeeritud kliendisüsteemide kohta teabe kogumiseks kontrollige vangla staatust.

$ sudo fail2ban-kliendi olek sshd. 
Kontrollige Fail2bani ploki olekut
Kontrollige Fail2bani ploki olekut

Kliendi blokeeringu tühistamiseks või vanglast eemaldamiseks täitke järgmine käsk:

$ sudo fail2ban-client unban 192.168.2.102. 

Kontrollige veel kord vangla staatust, veendumaks, et klient ei ole keelatud IP -de loendis.

$ sudo fail2ban-kliendi olek sshd. 
Kontrollige Fail2bani blokeerimisloendit
Kontrollige Fail2bani blokeerimisloendit

Nagu oleme näinud, Fail2ban on väga kasulik vahend sissetungijate tõrjumiseks, kes soovivad teie Linuxi süsteemi rikkuda. See töötab koos tulemüüriga, et pärast teatud arvu ebaõnnestunud sisselogimiskatseid keelata kliendisüsteemid määratud ajaks. Seda tehes pakub see teie Linuxi serverile täiendavat kaitsekihti.

Teachs.ru